Monday, May 17, 2021
Focus

Alexandru Andriescu Fondator și Președinte al ANSSI, ISACA, ISSA, Cloud Security Alliance. Fondator și CEO al ProVision, lider în domeniul securității IT pe piața din România. Peste 15 ani de experiență. CISM, CISSP, CRISC, BS7799 LA.
Alexandru Andriescu Fondator și Președinte al ANSSI, ISACA, ISSA, Cloud Security Alliance. Fondator și CEO al ProVision, lider în domeniul securității IT pe piața din România. Peste 15 ani de experiență. CISM, CISSP, CRISC, BS7799 LA.

autor: Alexandru Andriescu

Nu îmi doresc să abordez parteneriatul public privat din perspectiva legală, având în vedere o serie de aspecte care sunt încă neclare în România din acest punct de vedere, ci aş vrea să fac o scurtă analiză a nevoii de dezvoltare a unor platforme reale şi pragmatice în acest domeniu care să permită în primul rând identificarea unor interese comune, atât ale instituţiilor statului cât şi ale sectorului privat.

În România ne-am obişnuit să nu luăm în serios astfel de iniţiative sau să le considerăm inutile, încercând, nu de puţine ori, fie ca cetăţeni simpli sau antreprenori, sentimentul că orice demers care conţine promovarea unor valori sau idei este de la început sortit eşecului. Experienţa de antreprenor mi-a permis să înţeleg că orice poveste de succes se bazează pe atitudinea şi profesionalismul oamenilor implicaţi în orice fel de iniţiativă. De aceea, după mulţi ani în care am cunoscut, atât în mediul corporatist, cât şi în domeniul public, oameni pasionaţi şi interesaţi de schimbarea paradigmelor de mentalitate care produc scindări critice între statul român şi mediul privat, am decis să accept provocarea de a mă implica într-o iniţiativa ca ANSSI.

Ca punct de plecare în acest demers, am studiat câteva modele de succes din ţări unde parteneriatul public privat nu mai este de mult doar o poveste, şi am constatat că există motivaţii solide pentru construirea unei platfome comune de dialog în domeniul securităţii cibernetice, din moment ce ambele părţi au interese comune evidente. Modelul simplu şi funcţional al INFRAGARD, o asociaţie din SUA ce include reprezentanţi ai mediului academic, mediului de afaceri, organelor de aplicare a legii şi experţi validaţi de piaţade profil, care are ca obiectiv general partajarea de informaţii referitoare la ameninţările şi potenţialele acte ostile la adresa infrastructurilor critice ale statului.

Având în vedere că România este un stat capitalist, iar în ultimii ani piaţa de IT este în creştere, o mare parte a infrastructurilor critice naţionale sunt în administrare privată, precum şi faptul că nivelul de expertiză în domeniul securităţii cibernetice a crescut pe fondul nevoii tot mai stringente de protecţie împotriva noilor ameninţări, împreună cu membrii ANSSI am identificat câteva dintre obiectivele ce ar putea reprezenta puncte de interes comune, atât pentru instituţiile statului român, cât şi pentru sectorul privat.

Raoul Chiesa, Founder, President, Security Brokers (IT)
Raoul Chiesa, Founder, President, Security Brokers (IT)
Care ar trebui să fie prioritățile de top și necesitățile într-o astfel de încercare?

autor: Raoul „Nobody” Chiesa

Atunci când vorbim despre securitatea cibernetică una dintre cele mai întâlnite și mai abuzate expresii din ultimii cinci ani este: PPP, adică așa-numitul „Parteneriat Public-Privat”. Indiferent dacă vorbim despre un scenariu european (care în mod automat implică entităţi cum ar fi Comisia Europeană, Parlamentul European, ENISA, etc.) sau despre NATO, SUA, o mulţime de organizaţii și guverne din zonele Asia-Pacific și GCC, sau „de oriunde” (numiţi unul la întâmplare!), acest PPP apare întotdeauna.

Acesta este de fapt un lucru bun și putem adăuga faptul că «succesul» acestor parteneriate atât de trâmbiţate este absolut corect. Da, securitatea cibernetică are nevoie imperioasă de cooperare, de partajare de informaţii, de colaborarea între entităţile guvernamentale și sectorul public: primele scriu reglementările, în timp ce celelalte au ca preocupare securitatea informaţiei, ceea ce implică experienţă, abilităţi, cunoștinţe, reţeaua corectă de oameni și contacte, precum și un interes și o nevoie reală de a efectua proiecte operaţionale.

Pentru a atinge unele dintre scopurile menţionate (mai degrabă decât pe toate) și pentru a stabili scenarii win-win, diferiţii actori trebuie să discute între ei, aceasta permiţându-le să construiască o reţea de încredere între egali, în care informaţia reală să fie partajată între organizaţiile publice și private.

Aceasta este esenţa discuţiei. Cele mai bune abordări din apărarea cibernetică sunt cele «extrem de proactive», în care elementul cheie este informaţia de care dispui. Nu contează dacă vorbim despre un SOC, sau un NOC, despre un CERT naţional sau privat, sau despre centrul de comandă cibernetic al unui MoD.

Majoritatea profesioniștilor implicaţi în securitatea informaţiei, sau în războiul cibernetic, știu deja ce anume nu funcţionează în lumea reală a partajării de informaţii. Instituţiile financiare nu își vor împărtăși datele lor, considerând că acestea reprezintă un activ strategic și că ai lor competitori vor acţiona de aceiași manieră. Guvernele și instituţiile naţionale vor respecta reglementările și standardele naţionale și vor acţiona în diverse moduri în funcţie de nivelul de pregătire, atunci când vine vorba despre partajarea de informaţii la modul serios.

Așa cum am subliniat anterior și din experienţa mea proprie, majoritatea proceselor de împărtășire de informaţii depind de relaţiile inter-umane și de informaţiile disponibile ca elemente cheie. Se poate întâmpla ca personalul operaţional să încalce regulile pentru a-și atinge obiectivele, „adaptând” politicile entităţilor guvernamentale și private la nevoile reale. Acest scenariu nu se poate realiza atunci când vine vorba despre cei care stabilesc politicile (în majoritatea situaţiilor fiind vorba despre implicarea guvernului în procesul de partajare de informaţii), datorită modului lor de gândire, care este categoric greșit atunci când vine vorba despre schimbul de informaţii.

Ioan-Cosmin MIHAI, Vicepreședinte ARASEC – Asociaţia Română pentru Asigurarea Securităţii Informaţiei
Ioan-Cosmin MIHAI, Vicepreședinte ARASEC – Asociaţia Română pentru Asigurarea Securităţii Informaţiei

autor: Ioan-Cosmin MIHAI

Evoluțiile tehnologice, precum și dezvoltarea unor comunități într-un spațiul virtual dinamic, fără frontiere, au dus la apariția unor atacuri cibernetice din ce în ce mai sofisticate. Securitatea cibernetică a căpătat în ultimii ani o importanță strategică, în contextul în care conflictele cu actori statali au pătruns în spațiul cibernetic, cu un potențial impact devastator în infrastructura cibernetică a unei țări.

Dezvoltarea cooperării între sistemul public și privat în scopul asigurării securității spațiului cibernetic reprezintă o direcție prioritară de acțiune în contextul în care atacurile cibernetice devin din ce în ce mai frecvente, mai complexe și mai greu de detectat, multe reprezentând un risc pentru infrastructurile critice naţionale. Această cooperare trebuie să urmărească, prin corelarea măsurilor de securitate, creșterea nivelului de protecţie al infrastructurilor cibernetice.

Responsabilitatea asigurării securității cibernetice trebuie să revină tuturor actorilor implicați, pentru prevenirea și combaterea fenomenului de criminalitate informatică. Principalele obiective ale acestei cooperări între sistemul public și privat trebuie să urmărească:

  • schimbul de informaţii privind vulnerabilităţile și ameninţările detectate în spaţiul cibernetic;
  • dezvoltarea capacităţii de alertă timpurie și de răspuns la atacuri cibernetice;
  • dezvoltarea de programe de cercetare în domeniu;
  • informarea utilizatorilor individuali în legătură cu vulnerabilităţile, ameninţările și riscurile prezente în mediul cibernetic;
  • reacţia comună în cazul unor atacuri informatice ce vizează structurile cibernetice de interes naţional.

Ștefan Hărșan Fárr Fondator, arhitect și dezvoltator al „Earless” (www.earless.net)
Ștefan Hărșan Fárr Fondator, arhitect și dezvoltator al „Earless” (www.earless.net)

autor: Ștefan Hărșan Fárr

Dacă ar fi să comparăm internetul cu ceva din lumea fizică am putea să-l descriem, fictiv evident, ca o infrastructură de teleportare. Dificultăţile ce apar în exploatarea ei provin din faptul că fiecare actor care folosește această infrastructură, state, companii private, populaţia în general, adică toţi, înţeleg sau nu înţeleg capacităţile și lipsurile internetului în felul lor. Internetul nu este ca lumea reală, spaţiul real nu se transpune 1:1 în această lume virtuală. Toate legile, regulile pe care le cunoaștem și le-am proiectat în decursul secolelor pentru lumea noastră nu se aplică bine în această lume. Pe internet poţi fi oricine, oricând, oriunde. Un sistem anarhic, fără o autoritate, fără reguli, scos direct dintr-o utopie unde conceptul de „crimă” nu mai există.

Noi însă trăim într-o lume competitivă, antagonistă, cu ierarhii și reguli pentru ca jocul să nu degenereze iar metodele de impunere a acestor reguli sunt în mare măsură incompatibile cu această planșă de joc în alb. Este doar o consecinţă naturală că cei cărora nu le place să joace după reguli au găsit în internet locul ideal pentru a se desfășura, iar dacă în lumea reală avem legi și organisme care să ne apere de acești impostori, în lumea virtuală rămâne să ne apărăm singuri. Această prăpastie în așteptările publicului larg și lipsa de coerenţă a celor care înţeleg fenomenul dar nu știu cum să o abordeze au făcut din internet un spaţiu violent, și dacă nu se intervine, riscăm ca ea să degenereze în ceva care nu mai este economic viabil.

Este deci de maximă importanţă ca toţi cei care au o autoritate în lumea reală și sunt jucători importanţi și în lumea virtuală să se pună de acord și să dezvolte un cadru de mecanisme care să lege lumea virtuală mai bine de cea reală. Ar fi fals să credem că suntem complet fără apărare; slăbiciunea noastră provine în principal din lipsa de coeziune. Forţa legiunilor romane nu se datora numai forţei individului ci mai degrabă puterii formaţiei în care se mișcau. Și noi, actorii de pe internet, trebuie să abordăm o tactică similară și să punem de-o parte jocul individualist, pentru o cauză comună.

Vassilios Manoussos, MSc,PGC,BSc,AAS Digital Forensics & E-Crime Consultant, Strathclyde Forensics Associate Lecturer, Edinburgh Napier University National Adviser (Online Safety of children and vulnerable adults), Roshni (Scottish Charity)
Vassilios Manoussos, MSc,PGC,BSc,AAS Digital Forensics & E-Crime Consultant, Strathclyde Forensics Associate Lecturer, Edinburgh Napier University National Adviser (Online Safety of children and vulnerable adults), Roshni (Scottish Charity)

autor: Vassilios Manoussos

Platforma și stakeholder-ii ei

Recent am avut oportunitatea și onoarea de a participa la conferinţa Cybersecurity in România de la Sibiu. A fost o experienţă excelentă care m-a pus în contact cu oameni foarte interesanţi din industrie, dar și din mediul academic, forţele de poliţie și administraţia locală.

Experienţele din acea săptămână au fost amestecate: unele mi-au confirmat temerile legate de birocraţia administraţiei și de incapacitatea de a gândi în afara șabloanelor, care pun stavilă progresului. Am întâlnit oameni care au o viziune a unei Românii avansate din punct de vedere tehnologic, a unei societăţi care oferă șanse egale de acces la informare și la educaţie.

Și eu sunt originar din Balcani, zonă în care birocraţia statală și legile învechite stau (și din păcate vor mai sta) în calea progresului.

Aspectele legate de securitatea cibernetică, siguranţa copiilor în mediul online, accesul facil și corespunzător la informaţie și la cunoaștere și protejarea victimelor infracţiunilor care se comit online sunt complexe și nu ţin doar de o organizaţie sau de un singur grup.

Educaţia în privinţa comportamentului online este necesară deoarece există lacune grave în aproape toate sistemele educaţionale adresate tineretului. După părerea mea, aceste lacune trebuie eliminate prin efortul combinat al specialiștilor, mediului academic și ONG-urilor.

Despre dialogul public-privat sunt multe lucruri de spus. A fost evident pentru toţi cei care am participat la conferinţă că politicienii trebuie să fie mai deschiși sfaturilor care vin din sectorul privat și că nu trebuie să pună în prim plan doar avantajele politice.

Administraţiile guvernamentale nu sunt un scop în sine. Cei care lucrează în cadrul lor înţeleg foarte puţin modul în care industria funcţionează. Echilibrul este undeva la mijloc și atunci când sectorul privat își manifestă îngrijorarea, guvernele cărora le pasă ascultă.

Organizaţiile de voluntari din Marea Britanie (unde trăiesc) joacă un rol extrem de important în societatea noastră, iar companiile, instituţiile de învăţământ și administraţiile locale și centrale recunosc acest fapt și le acordă sprijin. Multe companii din Marea Britanie sprijină în mod deschis voluntariatul și ONG-urile și (pe lângă sprijin financiar) le oferă infrastructură, instruire și suport. Dar această schemă funcţionează ca un lanţ trofic și nu izolat în cadrul fiecărui sector.

Guvernul stabilește liniile directoare pentru un anumit aspect (de exemplu pentru siguranţa spaţiului virtual) și finanţează administraţiile locale pentru administrarea și implementarea acestor decizii. Administraţiile locale colaborează cu ONG-urile și companiile pentru stabilirea detaliilor și le ghidează apoi pentru atingerea unor obiective comune.

 Acesta este un model pe care l-am văzut funcţionând în Marea Britanie în ultimii 15 ani. S-ar putea să nu fie perfect, dar funcţionează mai bine când vine vorba despre atingerea obiectivelor, decât dacă o autoritate unică ar încerca să rezolve o problemă ignorându-i pe toţi ceilalţi stakeholder-i.

Unele dintre suspiciunile mele s-au confirmat în timpul șederii la Sibiu. Legislaţia și birocraţia centrală frânează autorităţile locale și instituţiile academice. Sectorul voluntariatului trebuie să se dezvolte și să-și ocupe locul corespunzător în societate. În Marea Britanie ONG-urile furnizează toate serviciile vitale pe care guvernul nu reușește să le furnizeze, sau pe care nu le consideră viabile din punct de vedere financiar.

Schemele de voluntariat sunt mai flexibile prin însăși natura lor. Ele își pot adapta funcţionarea fără să aibă nevoie de directive politice sau de modificări în cadrul legal.

Modificarea modului în care guvernele funcţionează este uneori o sarcină aproape imposibilă. Dar modificarea modului în care oamenii acţionează pentru ajutorarea altor oameni este fezabilă.

Dată fiind experienţa mea din Grecia și din Marea Britanie, în industrie, administraţie și în voluntariat, nu îmi pot imagina o viitoare platformă de cooperare și dialog în care aceste trei sectoare să nu fie cei mai importanţi stakeholder-i.

Prioritățile

Fiecare ţară trebuie să-și stabilească priorităţile în funcţie de particularităţile care ţin de poziţia geografică, economică, de cadrul social și de factorii  culturali ai poporului său. Nu există o soluţie unică care să se potrivească tuturor. Cu toate acestea este înţelept să evaluezi experienţa altora și să îi implici dacă aportul lor poate fi valoros și se poate adăuga bagajului propriu de cunoștinţe.

Pentru început este necesar un forum, un loc în care stakeholder-ii să se întâlnească și să decidă ce anume trebuie făcut. Acest lucru este delicat, în mod special pentru sectorul public.

A doua prioritate este evaluarea situaţiei din ţară, din regiune și din restul lumii. Forumul trebuie apoi să decidă ce experienţe trebuie preluate și cum și dacă are sens cooptarea unor străini care au mai lucrat, cercetat și care au obţinut rezultate în acest domeniu.

Unul dintre impedimentele care trebuie depășite ţine de meschinăriile legate de aspecte de genul „cine să facă” și „cine își va asuma meritele”. Reţineţi: acesta va fi motivul de eșec al oricăror eforturi care nu depășesc acest impediment.

După părerea mea personală și profesională, priorităţile ar trebui să fie următoarele:

  1. Evaluarea situaţiei din ţară și stabilirea unui plan de acţiune pe termen scurt, mediu și lung.
  2. Stabilirea unor obiective realiste.
  3. Diferenţierea abordărilor de utilizat pentru grupuri diferite. Copiii, adolescenţii, oamenii de afaceri și pensionarii nu pot și nu trebuie abordaţi în același fel și cu aceleași procese.
  4. Stabilirea unui cadru clar pentru educarea populaţiei.
  5. Stabilirea unui cadru pentru sprijinirea victimelor infracţiunilor online.
  6. Utilizarea de specialiști în serviciile sociale, poliţie și universităţi care să introducă și să perfecţioneze abilităţi. Victima unei hărţuiri virtuale ar putea să difere de victima unui hărţuitor din lumea reală.
  7. Stabilirea unor grupuri de lucru care să evalueze toate eforturile anterior menţionate. Implicaţi voluntarii. Aceștia sunt oameni care pot adăuga abilităţi inestimabile la un cost minimal.
  8. Schimbarea cadrului legal. Acţiunile din spaţiul virtual, infracţiunile online și activităţile teroriste nu pot fi tratate cu legi create în anii ‘60 sau înainte de al doilea război mondial.

Dar mai mult decât orice există un aspect care trebuie să constituie pilonul oricărui efort în această direcţie: cooperarea internaţională. Guvernul României poate beneficia de know how-ul și experienţa altor guverne europene. Companiile internaţionale își aduc deja aportul, iar sectorul de voluntariat trebuie să crească și să stabilească relaţii de colaborare în toată Europa.

Drumul înainte nu poate fi decât împreună. Cuvintele lui John Donne, chiar dacă sunt vechi de 400 de ani, nu au fost niciodată mai actuale: „Nici un om nu este o insulă în sine; fiecare om este o bucată din continent, o parte a întregului … și prin urmare nu contează pentru cine bat clopotele; bat pentru tine.” 

 

Battista Cagnoni, Security Expert - FireEye
Battista Cagnoni, Security Expert – FireEye

autor: Battista Cagnoni

Mi se întâmplă destul de des, atunci când întâlnesc clienţi, să fiu întrebat, într-un mod mai mult sau mai puţin direct cum abordează alte organizaţii cerinţele stricte derivând din ameninţări avansate, așa-numitele Cyber Threat. Dincolo de curiozitatea înnăscută și necesară a oamenilor care se ocupă cu securitatea cibernetică, precum și de strategiile și procesele legate de acest lucru, observăm că de foarte multe ori organizaţiile au puţine, chiar prea puţine momente de împărtășire a experienţelor lor.

Un prim aspect pe care organizaţiile ar trebui să îl abordeze este clasificarea informaţiilor deoarece, înainte de a lua în considerare posibilitatea de a le împărtăși, ele trebuie să aibă o clasificare pentru a ști dacă o informaţie este sau nu de împărtășit. Un alt aspect pe care îl consider important este o analiză detaliată a informaţiilor, în scopul de a înţelege care sunt de fapt datele confidenţiale. De exemplu, redarea unui e-mail utilizat într-un atac de tip spear phishing este clasificat ca fiind „Confidential”,
deoarece conţine destinatari și unele metadate despre infrastructura internă a poștei electronice. Corect! O revizuire atentă a acestor informaţii, împreună cu o anonimizare adecvată v-ar permite să le partajaţi cu alte organizaţii. Cine sunt destinatarii unui e-mail de spear phishing și de ce ei au fost aleși este în mod clar o problemă care necesită confidenţialitate, precum și lipsa de interes de împărtășire. Din contră, conţinutul e-mailului, eventualele imagini, adrese IP și domenii legate de expeditor pot ajuta alte organizaţii să detecteze o ameninţare care se profilează la orizont. Acesta este un exemplu simplu legat de aspecte operaţionale, dar o abordare similară poate fi realizată la un nivel superior atât strategic cât și tactic.

Sectoarele public și privat sunt evident diferite, prin însăși natura lor. Dar când vine vorba de securitate cibernetică, abordarea pentru detectare, contracarare și sensibilizare în general îndeplinesc, în principal, aceleași criterii. În această optică, un model care privește în aceeași măsură atât companiile private de masă cât și organizaţiile publice implicate în aspecte de partajare de Cyber Threat comune este aplicabil și are beneficii multiple și reciproce. Sectorul public, în acest caz, a construit mai multe entităţi care pot aduce o contribuţie de suport considerabil. Entităţi precum poliţia, ministerele și centrele CERT naţionale pot aduce o mare valoare pentru schimbul de informaţii în domeniul Cyber Threat în principal datorită poziţiei privilegiate pe care aceste instituţii o deţin în ceea ce privește vizibilitatea lor publică.

În sectorul public este mai înrădăcinată cultura partajării, există exemple de platforme de partajare între ministere, sau între diferitele organisme ale forţelor armate. Centrele CERT naţionale, în special, au rolul de a coordona și distribui informaţiile. Pe de altă parte, companiile private au capacitatea de a împărtăși aspecte legate de atacurile de tip ţintă care de foarte multe ori sunt dependente de grupuri foarte specializate și axate pe anumite industrii. Grupurile APT au demonstrat amplu interesul atât pentru organizaţiile publice, cât și pentru companiile private și au tendinţa de a utiliza TTP (tactici, tehnici și proceduri), care le diferenţiază și de multe ori sunt un indicator destul de exact al matricei unui atac.

Există grupuri care tind să utilizeze malware cât mai puţin posibil prin limitarea utilizării sale la prima fază de atac, de obicei, pentru compromiterea a una sau două gazde (host), pentru a trece apoi la metode mai convenţionale și mai puţin vizibile cum ar fi instrumentele folosite de ad-inistratorii de sistem, de exemplu Sysinternal Tools¹ sau WMI² pentru a se “da deoparte” și a ajunge la date pentru a le proteja. Alte grupuri care nu se folosesc de malware au obţinut date de identificare valide prin inginerie socială în detrimentul acelorași administratori de sistem pentru a configura și autonom conturi VPN complet identice cu cele legitime.

Schimbul punctual și constant despre ceea ce este detectat de către fiecare dintre actorii așezaţi la o masă de schimb și de îmbogăţire reciprocă aduce cu siguranţă un avantaj substanţial. Este un plus, faţă de faptul că dacă s-a ajuns la această situaţie, atunci s-au creat deja canale de comunicare eficiente între diferiţi interlocutori, lucru fundamental într-o situaţie de criză. Spre exemplu, vom considera cazul în care mai multe companii private descoperă că au fost victima unui atac și că nu există implicarea poliţiei și a centrelor CERT naţionale – firmele care au deja stabilite relaţii instituţionale și personale pot fi de mare ajutor în a face mai eficient procesul de răspuns la incidente.

Este de neconceput, cu toate acestea, o masă la care să se așeze împreună actori din diferite medii cu diferite sarcini, cu responsabilităţi prea diferite între ei. De pildă, dacă punem un director executiv în haine de Policy Maker împreună cu strategi și experţi cu roluri foarte tehnice, pentru a discuta, nu obţinem un mod mai eficient de operare, pentru că neînţelegerile între părţi ar împiedica obţinerea unui rezultat și în consecinţă ar arăta că efortul făcut a fost inutil. Modelul în care cred este de tip organizaţie non-profit, al cărei scop principal este schimbul și diseminarea de modele de guvernare care pot defini o politică clară cu privire la Cyber Defense, niște procese care descriu o abordare tactică agilă și eficientă și abilităţi operaţionale.

Toate acestea, la diferite nivele, trebuie să fie dezvoltate având clar în vedere că grupurile APT au abilităţi tehnice de cel mai înalt nivel, sunt organizate într-un mod foarte eficient și au un potenţial financiar considerabil. Asociaţia ar trebui să organizeze de mai multe ori pe an – ideal la fiecare două luni – o zi de activităţi cu o scurtă sesiune plenară de actualizare si mai multe sesiuni paralele pe trei direcţii: strategică, tactică și operaţională pentru a permite să se facă schimb de tendinţe, abilităţi și experienţe. Tot ce a apărut în aceste zile de schimb ar trebui să se consolideze în câteva pagini concise distribuite membrilor asociaţiei. În același timp, statutul ar trebui să prevadă câteva reguli simple, dar care consacră contribuţia obligatorie, pentru a evita ca mulţi să beneficieze doar de experienţa câtorva. De mare valoare ar fi, de asemenea, un eveniment anual deschis specialiștilor din industrie pentru a avea punc tul de vedere al celor care sunt în prima linie de combatere a ameninţărilor cibernetice și în a ajuta organizaţiile să își îmbunătăţească postura.

Un aspect care nu poate fi uitat este valoarea pe care universităţile ar putea să o dea unui model de acest gen. Există multe avantaje într-o apropiere mai mare între mediul academic și de cercetare cu realitatea trăită în organizaţii. Universităţile ar putea avea acces la studii de caz reale de la care să înceapă să furnizeze răspunsuri atât tehnologice cât și manageriale. Studenţii au posibilitatea de a vedea aplicate abilităţile lor în stagii în cadrul companiei. Organizaţiile ar avea la dispoziţie noi absolvenţi pe care să îi poată integra și să îi facă să crească.

Acest articol atinge doar superficial principalele aspecte ale unui model care poate fi cultivat de diferiţii actori în direcţia schimbului de experienţă și, acolo unde este posibil, a informaţiilor. În acest context, este fundamentală crearea unei culturi de partajare pentru a crea un front comun pentru Cyber Threat. Iar în calitate de expert sper că organizaţiile sunt deschise acestui tip de dialog beneficiind de experienţa celorlalţi, prin crearea în cadrul naţiunilor a unor platforme de dialog eficiente.


Note:
1 https://technet.microsoft.com/en-us/sysinternals/bb545021.aspx
2 https://msdn.microsoft.com/en-us/library/aa384642(v=vs.85).aspx

ionel_nitu

Iulian-Popa

autori: Ionel Niţu şi Iulian Popa

Spațiul cibernetic – singurul domeniu proiectat și dezvoltat integral de ființa umană – se află în continuă transformare, fiind cel mai tânăr și volatil dintre toate mediile strategice.

Abordările privind securitatea s-au metamorfozat odată cu expansiunea spaţiului cibernetic, care a devenit un loc de confruntare pentru domeniile clasice ale securităţii. Ca atare, avem nevoie de un nou mod de abordare a ideii în sine de securitate cibernetică. Dacă până recent eram preocupaţi doar de riscurile, ameninţările și vulnerabilităţile de securitate cibernetică, a venit vremea ca acest reflex să dispară sau să fie semnificativ extins și adaptat contextelor și exigenţelor actuale din spaţiul cibernetic. Foarte curând, securitatea cibernetică va transcende cadrului tehnic și normativ – zona tactică și operaţională – și va avea o dimensiune strategică dominantă. Semnalele în această direcţie sunt semnificative și deloc de neglijat. În curând securitatea cibernetică nu se va mai rezuma exclusiv la securitatea hardware și software, ci utilizatorii vor deveni parte integrantă a acestui concept. Altfel spus, utilizatorii – poate una dintre „verigile cele mai slabe” ale securităţii cibernetice – vor fi vizaţi în mod egal de securitatea cibernetică. Vorbim de un proces structural și inevitabil de „extindere” a conceptului de securitate cibernetică la nivel macro care generează atât provocări, cât și oportunităţi cu implicaţii de natură economică. Aici intervine buna guvernanţă, o soluţie care pune accentul pe acţiuni pro active pentru a preveni cât mai mult din eventuale surprize. Buna guvernanţă este o manieră, să-i spunem, integrată și proactivă de gestionare a spaţiului cibernetic, prin care s-ar putea transforma o parte a riscurilor, ameninţărilor și vulnerabilităţilor în oportunităţi de securitate cu valenţe economice. În fond, spaţiul cibernetic este mediul cu cea mai mare nevoie de bună guvernanţă dintre toate cele cunoscute astăzi. Statistic vorbind, în fiecare minut peste 30.000 de utilizatori din întreaga lume cad victimă unor ameninţări cibernetice și peste 500 de noi malware sunt lansaţi în spaţiul cibernetic doar pe parcursul unei singure zile. Este posibil ca în următoarea decadă costurile insecurităţii cauzate de armamente disruptive să se apropie vertiginos de cele generate de armamentele distructive. Din perspectiva acestei tendinţe, buna guvernanţă este departe de a fi un concept desuet. Ea presupune optimizarea proactivă a triadei securitate-libertate-prosperitate în vederea creșterii rezilienţei cibernetice și dezvoltării durabile a spaţiului cibernetic în concordanţă cu interesele gene ratorilor și consumatorilor de securitate cibernetică. Majoritatea ne regăsim preponderent într-una dintre cele două posturi, dar foarte puţini actori în ambele concomitent. Cazul României este exemplificativ în acest sens. Deși s-au făcut progrese notabile în ultimii ani, în general suntem recunoscuţi drept furnizori de insecuritate cibernetică la nivel global, în ciuda potenţialului nostru de a dezvolta și furniza capabilităţi de securitate cibernetică. Să sperăm că abordarea industriei de securitate cibernetică drept parte integrantă a industriei de securitate naţională – în cheia noii Strategii Naţionale de Apărare a Ţării și a noii Strategii Naţionale a Industriei de Securitate – va putea reduce din dimensiunile acestui handicap, făcând din România un furnizor net de securitate, recunoscut în plan regional și internaţional.


2269

manoussos autor: Vassilios Manoussos

Utilizatorii de Tinder se simt în siguranță deoarece aplicația afișează doar pozele lor de pe Facebook, prenumele și vârsta. Dar nu cumva asta este mai mult decât au negociat?

Scopul investigației

Strathclyde Forensics a realizat o investigaţie pentru a afla cât de expuși sunt utilizatorii de Tinder (și ai altor servicii similare) atunci când vine vorba despre datele lor personale.

Scopul investigaţiei este de a determina cât de ușor este pentru cineva fără abilităţi speciale, utilizând instrumentele web disponibile, de genul motoarelor de căutare, să identifice și să urmărească utilizatorii care folosesc Tinder. Investigaţia a fost limitată la profile feminine, din Scoţia, aflate pe o rază de cel mult 160 km de Glasgow. Pentru aceasta a fost utilizat un cont obișnuit, cu toate limitările aferente acestuia.

Utilizare Tinder

Tinder are o interfaţă simplă, în care imaginile prospecţilor sunt afișate pe ecranul tău. Poţi răspunde că îţi place acea persoană (trăgând poza spre dreapta), sau nu (trăgând-o la stânga).

Din momentul în care dai „like” unei persoane care a făcut același lucru la poza ta, primești un mesaj de «potrivire» (match). Din momentul în care te-ai «match»-uit cu o persoană poţi să îi trimiţi mesaje, până în momentul în care acea persoană te „unmatch”-uiește.

În vârful listei de mesaje sunt afișate „momente” de la alţi utilizatori.

 Tinder-1Imaginea 1. Profil afișat pe eranul telefonului mobil.

Imaginea 2. În stânga «fereastra de potriviri» iar în dreapta lista de mesaje către/de la potriviri și „momente”.

Tinder-2

Interfaţa utilizator este ușor de utilizat și nu necesită nici un fel de cunoștinţe IT pentru a putea utiliza aplicaţia.

Prelevarea de probe

Prelevarea de probe a durat trei săptămâni, în 7 zile consecutive și s-a desfășurat la ore diferite, de la 8 dimineaţa până la 2 noaptea. Nu am făcut nici un fel de filtrare în timpul colectării profilelor consecutive prin efectuarea de capturi de ecran. Distanţa a fost stabilită la maxim 160 km, iar intervalul de vârstă între 19 și 55+ ani. Contul utilizat a fost un cont Facebook fals utilizat doar pentru acest experiment. Acest cont nu a avut «friends» așa că nu au existat prejudecăţi legate de „friends” sau de „friends of friends” în timpul prelevării de probe. Contul utilizat a fost unul gratuit, astfel încât doar un număr limitat de profile au fost accesibile în fiecare zi.

În total au fost efectuate 2.088 de capturi de ecran (screenshots) pe zi. Dintre acestea au fost extrase în mod aleator 555 de imagini. Aceste imagini aparţineau unui număr de 155 de profile, ceea ce ducea la o medie de aproape 3,6 imagini pe profil.

Cât de ușor este să identifici profile online?

Open Source Intelligence

Open Source Intelligence se referă la obţinerea de informaţii prin utilizarea unor surse și instrumente disponibile în mod gratuit. Acesta era și scopul exerciţiului. Să vedem cum poate cineva utilizând instrumente ca Google Images, un simplu editor foto, social media (de ex. Twitter și Instagram) și site-uri de relaţionare personală și profesională (de ex. Facebook și LinkedIn), împreună cu alte profile publice din forumuri, site-uri de matrimoniale etc. să obţină informaţii despre un individ utilizând doar câteva poze de profil, prenumele și localizarea aproximativă.

Imaginile selectate au fost decupate cu un program disponibil pe piaţă de 18 ani (Microsoft Image Composer). Apoi au fost încărcate pe Google Images pentru a vedea dacă descoperim potriviri. Potrivirile de pe Facebook, Linkedin, 192.com, site-uri de matrimoniale, Instagram, Twitter, și site-uri de business și guvernamentale au fost folosite pentru a crea niște etichete. (Informaţiile personale nu au fost salvate local. O potrivire a fost adăugată ca o incrementare de contor la o etichetă și apoi s-a trecut la poza următoare).

Ce a relevat investigația

S-au obţinut potriviri pentru un total de 48 de conturi. După cum era de așteptat, 30 din cele 48 de potriviri au venit de pe Facebook (62.5%) dar cea mai mare surpriză a constituit-o Linkedin care a dat mai multe potriviri decât numărul de conturi. (vezi Tabelul 1).

Tabelul 1. Potriviri de succes
Tabelul 1. Potriviri de succes

Dacă stabilim tipurile de site-uri care au dus la identificare, potrivirile de pe Linkedin au fost responsabile pentru 33% din cazuri, urmat de Facebook (13%), Twitter și Instagram (7% fiecare). (vezi Graficul 1).

Graficul 1. Rezultate în funcţie de tipul de website
Graficul 1. Rezultate în funcţie de tipul de website
Tabelul 2. Subiecte de interes
Tabelul 2. Subiecte de interes

 

 

 

 

 

Tabelul 2 este o colecţie de subiecte de interes care au fost descoperite în timpul investigaţiei. Volumul de poze nud (fără haine) a fost de doar 0,36% dar pozele în bikini și lenjerie intimă au reprezentat 11,89% din totalul imaginilor.

Peste 3% dintre imagini au fost realizate în peisaje identificabile din Marea Britanie sau de peste graniţă (incluzând Partenonul din Atena, Grecia, Stonehenge, castelul din Edinburgh, Royal Mile, Kelpies și George Square din Glasgow).

Am mai observat că 7,39% dintre imagini erau cu copii (fie singuri, fie însoţiţi de un adult), iar 4,14% erau cu animale, de la câini și pisici și până la cai.

În 24 din 48 de cazuri (50%), am reușit să identificăm numele real complet al utilizatorului, inclusiv porecla și numele de fată. Odată numele identificate, printr-o simplă căutare pe Google, am reușit să identificăm 4 adrese de email și 3 numere de telefon. În anumite cazuri am reușit să identificăm inclusiv detalii legate de locul de muncă (în mod special prin Linkedin).

Locurile de muncă despre care am obţinut informaţii includ:

  • Lanark Council
  • Glasgow City Council
  • NHS Glasgow
  • Royal Conservatoire
  • Edinburgh University
  • Glasgow University
  • TESCO Bank
  • RBS

După identificarea numelui complet și a localizării, printr-o simplă căutare pe 192.com am descoperit posibilii candidaţi. Nu am efectuat și alte căutări utilizând serviciile cu plată oferite de 192.com. Această parte a investigaţiei a relevat că pentru cca. 68% dintre persoanele identificate pot fi obţinute informaţii din alte baze de date disponibile public.

Pentru 48 de profile, 155 de fotografii au returnat rezultate. Adică, în medie, pentru 3 poze de profil am obţinut rezultate online.

În total au fost 229 de rezultate returnate de website-uri, 4,77% pentru fiecare profil.

În total, 48 din 155 de profile investigate au returnat rezultate. Adică aproape 1 din 3 profile (30,96%).

Observații și concluzii

Este important să înţelegem că aflarea de informaţii despre cineva nu este întotdeauna un proces simplu și care poate fi automatizat. Dovezile sunt interconectate și uneori este necesară realizarea unor conexiuni manuale între diferite seturi de date.

  • Într-una dintre situaţii imaginea reprezenta un desert iar Google Images returna un local din Paris care îl oferă, prin intermediul aplicaţiei TripAdvisor. Verificând acea pagină am identificat utilizatorul cu același nume care era din Glasgow. Orașul de reședinţă și numele complet au fost furnizate de TripAdvisor.
  • Cu toate că unele persoane au folosit o poreclă pe Facebook sau pe Instagram când s-au conectat pe Tinder, rezultatele furnizate de alte site-uri, în mod special de Linkedin, ne-au relevat numele adevărat și profesia.
  • Rezultatele furnizate de Linkedin au fost adesea multiple. Astfel o imagine a returnat mai multe rezultate care aparţineau unor persoane diferite, care nu aveau acea poză ca poză de profil. S-a dovedit că aceștia erau contacte ale subiectului.

Instrumentele pe care le-am utilizat sunt disponibile gratuit în zona de public domain, astfel încât oricine are o conexiune la Internet le poate utiliza.

Volumul de date returnat din momentul în care anumite poze au returnat rezultate a fost semnificativ. Numărul total de potriviri generice a fost de 30,96% iar potrivirile posibile de pe 192.com au dus la un total de 21%. Aceasta înseamnă că pentru 1 din 5 subiecţi se pot afla, cu un minim de efort și prin intermediul unor servicii gratuite, adresa de domiciliu, numere de telefon, membrii familiei (sau alte persoane rezidente la aceiași adresă).

Rezultatele cele mai deranjante ţin nu atât de cantitatea de potriviri, cât de calitatea lor. Volumul de poze în lenjerie intimă și în costume de baie nu ne-a surprins. Șocant a fost numărul de poze cu copii pe care femeile le postează pe site-uri de matrimoniale, unde nu au nici un control asupra celor care pot să vadă acele poze.

Un total de 7,39% din eșantionul de studiu era alcătuit din poze care includ poze, adică 1 din 13 poze. Aceasta a fost singura descoperire pe care nu am anticipat-o la începutul acestei investigaţii.

Toate celelalte elemente identificabile, cum ar fi animale (de ex. călărie), peisaje și poze din concedii, pot ajuta pe cineva să realizeze un profil mult mai exact pentru oricare dintre femeile din aceste profile.

În concluzie acest studiu confirmă suspiciunile că în aplicaţii de genul Tinder oamenii sunt expuși mai mult decât ar crede și decât își dau seama. Este de asemenea evident faptul că utilizatorii nu înţeleg gradul de expunere al datelor lor personale, datorită absenţei măsurilor adecvate de restricţionare din Tinder și supra-expunerii lor în alte site-uri.

Ceea ce ar trebui să-i îngrijoreze pe utilizatorii de Tinder și de alte servicii similare, este gradul în care aceștia se expun pe ei și famiile lor, în mod special către posibili hărţuitori, foști parteneri sau alte persoane cu intenţii maliţioase.

DISCLAIMER

Înainte și după efectuarea investigației au fost luate următoarele măsuri de precauție.

Utilizarea unor date personale este sensibilă atât din punct de vedere social cât și legal. Din acest motiv ne-am luat anumite măsuri de precauţie pentru a ne asigura că datele personale ale subiecţilor nu sunt nici stocate și nici expuse. Pentru aceasta am luat următoarele măsuri:

  1. Pozele de profil au fost salvate pe un iPhone utilizând aplicaţia Tinder, și apoi au fost copiate pe un disc extern utilizat exclusiv pentru această investigaţie. Pozele capturate au fost apoi decupate. În imaginea decupată am păstrat doar poza și nu și numele, vârsta, distanţa etc. Imaginile au fost apoi șterse de pe iPhone. La fel și aplicaţia Tinder.
  2. Imaginile originale au fost șterse permanent utilizând mai multe protocoale de ștergere, inclusiv DoD 5220.22-M în timpul procesării (după decupare)
  3. După faza de comparare online, imaginile au fost șterse iar discul a fost distrus fizic.
  4. Compararea s-a făcut cu Google Images, fără să fim logaţi în niciun cont, utilizând Google Chrome în mod INCOGNITO, pentru ca nici o căutare sau URL rezultat să nu fie salvate pe calculatorul local.
  5. Rezultatele obţinute din motoarele de căutare au fost stocate doar ca etichete pentru analiză statistică. Nici un nume sau alte informaţii personale nu au fost stocate ca text. Este imposibil de asociat o etichetă cu orice nume individual.
  6. Imaginile utilizate în acest articol sunt din domeniul public și nu au nici o legătură cu investigaţia. Ele sunt utilizate doar pentru ilustrare și au fost create doar în acest scop.

Versiunea originală a articolului în limba engleză este disponibilă la: https://www.linkedin.com/pulse/you-using-tinder-how-safe-anonymous-really-vassilios-k-basil-?trk=prof-post

1612

autor: Gabriel Ţuţu

Arestarea, în 25 martie 2015, a membrilor celulei italiene ISIS angajați în procese de recrutare de luptători din state europene, precum și arestările recente realizate de poliția din Republica Moldova aduc în centrul atenției publice problema Islamului și amenințările la adresa țării noastre.

România, în calitatea asumată de frontieră estică a Uniunii Europene, se regăsește în ingrata postură de a face faţă unui val tot mai mare de transfugi proveniţi din diverse zone de conflict, sau din ţări cu un grad ridicat de sărăcie, ceea ce poate permite inclusiv migrarea pe teritoriul ţării noastre a unor recrutori de martiri sau potenţiali teroriști.

De asemenea, Internetul pare a fi un punct forte pentru extremiștii foarte pricepuţi în utilizarea acestui instrument și care au găsit un teren fertil printre emigranţii care trăiesc în Occident, chiar de mai multe generaţii și care, în realitate, nu s-au integrat în societate niciodată.

Conștienţi fiind de faptul că Jihad-ul celui de-al treilea mileniu nu se desfășoară numai prin lupte la sol, sau cu atentate la integritatea fizică, ci tot mai mult prin intermediul reţelelor virtuale, putem considera că acţiunile întreprinse de către „statul islamic” pot constitui un adevărat „Cyber Jihad”.

Prezenţa ISIS în rețelele sociale

Cât este de importantă comunicarea web pentru ISIS?
Pentru luptătorii ISIS Internetul a devenit un vector fundamental pentru a transmite teroarea în lume, comunicarea digitală având drept scop creșterea gradului de conștientizare a cauzei, promovarea propagandei și mediatizarea succeselor jihadiste.

De asemenea, prin intermediul reţelelor de socializare sunt furnizate informaţii cu privire la modul prin care te poti alătura grupurilor și cum poţi să ajungi în statul islamic. Dar atenţie, nu este vorba numai de capacitatea de a utiliza mass-media, ci și de utilizarea unei strategii bine structurată, compusă din diverse produse multimedia (video, fotografii, mesaje, promovare pe Twitter, pe Facebook, etc.) target-ate către diferiţi destinatari și folosind tehnici de propagare diferite. Se acordă atenţie producţiei de film cu acurateţea produselor televizive consacrate, folosind tehnici de capturare a unui anumit tip de public, încercând să înţeleagă efectiv ce interesează segmentul social ţintă și apoi să creeze produsul potrivit. Să ne întrebăm pentru o clipă de ce se proclamă și se impune numele statului islamic, de ce ne anunţă că emit monedă și încasează taxe? Totul face parte din strategia lor de comunicare. Ne impun o marcă comercială, și anume cea a Statului islamic, care intră în viaţa noastră de zi cu zi, prin Internet și televiziune, acestea fiind recunoscute ca adevărate instrumente de amplificare globală.

Cine sunt cei care aspiră să devină jihadist ISIS?
În cele mai multe cazuri, aspiranţii jihadiști sunt tinerii care decid să părăsească Occidentul și să se alăture armatei ISIS, în cele mai multe cazuri fiind copiii imigranţilor musulmani care au emigrat în Occident de ani de zile și care locuiesc permanent în diferite ţări europene.

De asemenea, regăsim tineri occidentali nemusulmani sau atei care nu au nici un fel de contact cu religia islamică, și, contextual, cu ocazia recrutării lor sunt convertiţi la credinţa musulmană. Pentru aceștia din urmă, desigur, recruiter-ii au nevoie de o abordare persuasivă mult mai complexă și articulată. Tinerii care se alătură jihad-ului nu fac parte din categoria celor care cresc în ignoranţă și sărăcie, ci sunt educaţi și cu condiţie economică bună. Totodată, aceștia deţin o bună expertiză în utilizarea Internetului, au capacitatea de a realiza alegeri ideologice personale, uneori conduși de status-uri psihologice dificile și de conflicte familiale.

Drept exemplu, media internaţională prezintă un posibil hacker ISIS ce a fost identificat ca fiind Junaid Hussain, considerat a fi un jucător cheie sau lider al „Cyber Califatului” și în conexiune directă cu atacurile ISIS. Hussain a fost arestat în Marea Britanie, în 2012, pentru spargerea contului de email al fostului premier Tony Blair. Potrivit relatărilor, Hussain a părăsit Marea Britanie plecând în Siria și unde s-a alăturat ISIS. Conform informaţiilor pu blice, Junaid Hussain a fost parte a „teamp0ison”, grupare de hacking activă în 2012. Ulterior acesta a mai fost cunoscut cu apelativele online: Abu Hussain al-Britani, TriCk, iar cel mai recent cont al său de Twitter, suspendat între timp, – UmmHussain103.

Care sunt locurile și metodele de recrutare?
Putem afirma că Internetul, și, în special reţelele sociale, reprezintă nucleul central de recrutare pentru aspiranţii jihadiști, pregătiţi să treacă de la tastatura computerului la teatrele de război sirian și irakian sau să comită atentate în Occident. Sunt utilizate metode de abordare virtuală pe Twitter, Facebook sau bloguri, unde se încearcă să se înţeleagă interesul aspirantului prin răspândirea de mesaje culturale „înșelătoare”, cu difuzare aleatorie, ar care pot identifica totuși mulţi destinatari în rândul tinerilor aflaţi „în așteptare de ceva” ce le poate oferi o nouă identitate sau un ideal în viaţă. Este metoda asa numită „pânza de paianjen”, în cadrul căreia mesajele lansate sunt atractive și populare pentru cineva psihologic vulnerabil și care va fi captivat de astfel de mesaje. În faza imediat următoare se procedează la contact direct, faţă în faţă, în cadrul căruia vom regăsi asa numiţii „recrutori” care operează și în locașele de cult musulmane precum și în suburbiile marilor orașe occidentale și care sunt pregătiţi să furnizeze recomandări cu privire la modul de a obţine vize și cum se poate ajunge la ISIS sau în tabere de instruire, iar în ultima vreme se observă că acești recrutori au ajuns să organizeze inclusiv călătoria, prin furnizarea de bilete de avion, e-mailuri și numere de telefon pentru a contacta grupurile de combatanţi.

Ce fel de sisteme multimedia adoptă?
Statul islamic deţine o echipă de cameramani combatanţi care urmărește luptătorii în zonele de conflict, și mai mult decât atât, fiecare luptător, cu propriul telefon mobil realizează înregistrări video ale acţiunilor și apoi le postează pe reţelele sociale, astfel încât, fiecare adept să ia cunoștinţă în timp real de ceea ce se întâmplă: o avalanșă de informaţii. Sistemele de comunicare utilizate sunt: site-uri web oficiale care difuzeaza viziunea Islamului prin mesaje video; o revistă – Dabiq, în format atât printat cât și digital, în care există referiri la câștiguri teritoriale, eroi care au murit în luptă, interpretarea tezelor sacre, pe scurt, un adevărat ghid al Califatului; „Agenţia Islamică Nouă”, organizată exact ca orice agenţie de știri multimedia, care transmitea (până la momentul blocării sale în Internet), prin video și comunicate de presă ale purtătorilor de cuvânt ai grupurilor afiliate la statul islamic. Agenţiile de presă sunt un nod strategic al acestui tip de război cibernetic realizat prin informare și dezinformare; Hayat Media Center (casa de productie audiovizuală) unde se produc adevărate videoclip-uri bine structurate, demne de un film cinematografic. Instrumentul preferat pentru diseminarea informaţiilor provenite de la ISIS este reprezentat de canalele audiovizuale, precum YouTube, ușor de înţeles, fără a fi necesar să cunoști limba vorbită și cu impact emoţional puternic.

De asemenea, există reţele sociale precum Facebook și Twitter, care în ultimii ani au constituit cel mai rapid mod de difuzare al informatiilor, acţiunilor și evenimentelor referitoare la combatanţii aflaţi la mii de kilometri distanţă și toate acestea realizate într-un mod aproape anonim.

Suntem martorii unui război în care Internetul și spaţiul virtual în general joacă cu siguranţă un rol-determinant în ceea ce privește recrutarea, organizarea și comunicarea. Anonimatul on-line permite instruirea și diseminarea idelor teologice și militare în condiţii de siguranţă și la mare distanţă. Utilizarea unor arhive „draft” în cadrul unor simple adrese de e-mail comune pentru membrii organizaţiei asigură schimbul de mesaje fără ca e-mailul să fie expediat. Combatanţii statului islamic, fie ei virtuali sau reali, deţin conturi protejate direct de mediul virtual, astfel încât nimeni să nu știe dacă aceștia există și cine sunt în realitate, iar în cazul în care autorităţile blochează aceste conturi, acestea sunt redeschise a doua zi cu o altă identitate de user; de exemplu prin trecerea de la „#Abdul2” la „#Abdul3”.

Sarcina adeptului jihadist care utilizează Internetul este de a posta în conturile de social media (Facebook, Twitter), puse la dispoziţie gratuit, materiale video, fotografii, fișiere audio, etc.

Ulterior, casele de producţie prelevează materialele din aceste „containere” video și le prelucrează în timp real, iar apoi le postează din nou pe YouTube sau pe un alt canal video gratuit, care poate fi utilizat de către toţi suporterii din lume, și care, la rândul lor, vor posta din nou și așa mai departe într-un lanţ nesfârșit.

Ce știm despre alte grupări responsabile de atacuri cibernetice?
Analizând prudent întotdeauna atribuirile și revendicările atacurilor realizate, știm că aceste grupuri pro-Jihad sub denumiri de „Fallaga” și „Cyber Califat” au fost responsabile pentru atacurile asupra conturilor de Twitter și YouTube ale Comandamentului Central american. Cu toate că atacul s-a rezumat la vandalism și tero rism psihologic, nu ne putem permite să stăm impasibili. ISIS s-ar părea să aibă la dispoziţie cel puţin câteva unităţi cu experienţă în inginerie socială și hacking. Știri recente menţionează o așa autointitulată Divizie de Hacking a ISIS care a postat pe un site online numele, fotografiile și adrese a 100 de soldaţi americani care au luat parte la operaţiunile din Irak și Siria, îndemnând membrii și simpatizanţi ai ISIS din Statele Unite să-i omoare.

Toate acestea sunt rezultatul informaţiilor furate dintr-un server al Departamentului Apararii sau a activităţilor meticuloase de culegere de date din mediul Internet și în special din site-urile de social media?

Este probabil ca al-Baghdadi (liderul ISIS) să fi urmat modelul similar al Armatei electronice siriene, grupare considerată drept prima armată de hackeri ce a apărut în Orientul Mijlociu și care sprijină guvernul sirian al președintelui Assad, demonstrând că deţine capabilităţi și formarea de tip militar.

„Califatul virtual” constituie in mod deosebit un impuls puternic pentru recrutare și pentru construirea unor spaţii online care să reflecte extremismul din realitatea cotidiană în teritoriile ocupate din Irak, Siria, precum și din alte cîmpuri de luptă. În mod specific, suporterii pro-ISIS au fost activi într-o serie de acţiuni punctuale, de la recrutarea de adepţi in principalele reţele de socializare, cum ar fi Twitter, pînă la construirea de site-uri de socializare proprietare, unde adepţii pro-ISIS se presupune că ar fi mai protejaţi.

Înregistrat pentru prima dată la 9 martie 2014, „5elefabook.com” a fost construit ca o clona a site-ului „Facebook” dedicat adepţilor ISIS, unde aceștia să se alăture în condiţii de siguranţă, ca urmare a interzicerii unui număr semnificativ de conturi pro-ISIS în platformele Instagram, Twitter, și altele de acest gen.

Site-ul „Cartea khelafa”, numit după termenul arab pentru „califat”, a fost activ doar pentru o scurtă perioadă înainte de a fi deconectat și înlocuit cu un preaviz de închidere. Traducerea engleză a numelui site-ului, precum și anunţul de notificare în limba engleză, prezentat mai jos, sunt reprezentative pentru a evidenţia tendinţa poliglotă a site-urilor mass-media teroriste, cu un accent pe limbile Occidentale, în scopul de a atrage recruţi și atenţia mass-media occidentală.

Informaţiile Whois înregistrate în portalul GoDaddy, citate mai jos, trimit clar către „Statul Islamic – Mossul”, însă codul poștal și numărul de telefon sunt evident false.

Care sunt obiectivele ISIS?
În mediul Internet circulă o varietate de ipoteze, printre care o multitudine de hărţi care prezintă proiecte de extindere a ISIS în întreg Orientul Mijlociu, Europa de Est și în întreaga Africa central-nordică. Se pare că una dintre aceste ipoteze este aceea de a recrea un Califat islamic, cu singura intenţie de a rupe graniţele statelor din Orientul Mijlociu trasate prin intermediul acordului „confidenţial” din 1916 de către Franţa și Marea Britanie, care a divizat teritoriul după prăbușirea „Imperiul Otoman”.

Cu toate acestea, există voci care declară că ofensiva ISIS reprezintă în principal, un atu important pentru producătorii de armament, care speră să vândă o cantitate mai mare de arme monarhiilor din Golf.
Și oricum, fiecare război trebuie să aibă și un câștigător!!!

Analiza în mediul online a ISIS și capacităţilor sale cibernetice prezintă un potenţial „Cyber Califat” care este probabil încă în fază incipientă și nu are rafinament, antrenamentul și coeziunea necesară pentru a genera o ameninţare majoră la adresa infrastructurilor cibernetice majore. Cu toate acestea, unde există dorinţă va exista și o cale și pentru grupul terorist cel mai tehnologizat și prezent în zona de social media, pentru realizarea acestui deziderat și atingerea capabilităţilor necesare este probabil că ISIS va să continua să depună eforturi majore.

pierluigi

Pierluigi Paganini

Este Chief Information Security Officer la Bit4Id, companie lider în managementul identității, membru al ENISA (European Union Agency for Network and Information Security) Threat Land- scape Stakeholder Group, el este de asemenea Security Evangelist, Security Analyst și Freelance Writer.
Editor-in-Chief la „Cyber Defense Magazine”, Pierluigi este un expert în securitate cibernetică cu peste 20 de ani de experiență în domeniu, este Certified Ethi-
cal Hacker la EC Council în Londra. Pasiunea pentru scris și credința fermă că securitatea se bazează pe împărtășirea de cunoștințe și pe conștientizare l-au de- terminat pe Pierluigi să înființeze blog-ul de securitate „Security Affairs” nominalizat recent ca Top National Security Resource pentru SUA. Pierluigi este membru al echipei „The Hacker News” și scrie pentru mai multe publicații importante din do- meniu, cum ar fi Cyber War Zone, ICTTF, Infosec Island, Infosec Institute, The Hacker News Magazine și pentru multe alte reviste de securitate. Autor al cărților „The Deep Dark Web” și „Digital Virtual Currency and Bitcoin”.

autor: Pierluigi Paganini

Introducere
Termenul „Internet of Things” este folosit pentru a desemna orice obiect care poate fi interconectat și identificat în mod unic prin utilizarea unor tehnologii diferite, cum ar fi: NFC, digital watermarking (filigran digital) și cod QR.

Nu este greu să ne imaginăm faptul că în viitorul apropiat fiecare individ va fi echipat cu o serie de dispozitive inteligente care vor schimba informaţii între ele și care vor colecta informaţii din mediul înconjurător. Oamenii ar putea fi conceptual asimilaţi unor clustere de date care trebuie protejate împotriva atacurilor cibernetice și împotriva incidentelor accidentale. În 2020 numărul de dispozitive IoT va fi de peste două ori mai mare decât numărul total de smartphone-uri, PC-uri, tablete, mașini interconectate și purtabile (wearable), așa cum se poate vedea și din imaginea alăturată.

Untitled
Figura 1 – Proliferarea Internet ofThings

Numărul de dispozitive interconectate crește rapid, experţii IT estimează că în 2020 vor exista aproape 50 de miliarde de obiecte inteligente online și că fiecare individ va utiliza în medie mai mult de 6 dispozitive. Paradigma Internet of Things va genera în 2019 o valoare adăugată economiei mondiale de $1,7 trillioane.
Tehnologiile și serviciile care ţin de Internet of Things au generat venituri globale de $4,8 trillioane în 2012 și vor ajunge la $8,9 trillioane în 2020, crescând cu o rată anuală (CAGR) de 7,9%.

Internet of Things este o paradigmă care schimbă abordarea tehnologiei, extinzând suprafaţa de atac. Dispozitivele IoT sunt deja peste tot și din acest motiv industria IT trebuie să ţină cont de problemele de securitate și confidenţialitate. Un studiu recent efectuat de către firma de securitate Veracode a scos în evidenţă faptul că dispozitivele IoT casnice expun utilizatorii la o gamă variată de ameninţări, incluzând furtul de date și sabotaje, iar proliferarea dispozitivelor IoT va avea o influenţă majoră asupra comportamentului uman.

Dispozitivele IoT vor influenţa deplasările indivizilor în zonele urbane pe baza parametrilor atmosferici sau pe baza gradului de congestie de trafic din anumite zone specifice.

Din păcate, în majoritatea cazurilor dispozitivelor IoT au o protecţie de securitate deficitară încă din faza de design, cea mai mare problemă fiind percepţia scăzută asupra ameninţărilor cibernetice.
Infractorii cibernetici, hackerii susţinuţi de state, hack-tiviștii și teroriștii cibernetici pot exploata defectele din arhitectura IoT și pot produce daune extinse în orice industrie. Specialiștii estimează că numărul atacurilor cibernetice împotriva obiectelor inteligente va crește rapid în anii care vor urma.

Dușmanii IoT – mijloace și motivații
Pentru a proteja dispozitivele IoT este important să identificăm principalii actori ai ameninţărilor și motivaţiile lor. Să începem cu analiza categoriilor atacurilor care ameninţă arhitecturile IoT. Din păcate există o mulţime de „băieţi răi” care ameninţă implementarea paradigmei, incluzând infractori cibernetici, entităţi guvernamentale și hackeri motivaţi politic.

Toţi acești actori sunt interesaţi în primul rând de cantităţile uriașe de date pe care le administrează dispozitivele IoT, dar nu putem subestima riscurile unor atacuri cibernetice pentru sabotaje.
Erorile de design în privinţa principiilor fundamentale a securizării IoT pot expune utilizatorii la sabotaje, atacuri ale hackerilor (de ex. atacuri man-in-the-middle (MITM), preluarea controlului asupra reţelei), furt de date și deturnarea funcţionalităţii produselor.

Infractorii cibernetici pot fi interesaţi să fure informaţii sensibile administrate de platformele IoT sau pot fi interesaţi să compromită obiectele inteligente și să le utilizeze în activităţi ilegale, cum ar fi derularea unor atacuri asupra unor terţe entităţi sau mineritul Bitcoin.

Firmele de securitate au depistat deja grupuri de infractori cibernetici care utilizează botneţi alcătuiţi din milioane de dispozitive IoT infectate care derulează atacuri cibernetice împotriva unor firme private.
În mod uzual, „băieţii răi” infectează sau compromit obiecte inteligente configurate necorespunzător, cum ar fi routere, dispozitive SOHO, SmartTV-uri și alte dispozitive IoT.

În mod similar agenţiile de Intelligence sunt interesate să exploateze dispozitivele inteligente pentru a derula campanii de spionaj la scară largă, care utilizează routere, console de jocuri și smartphone-uri pentru a spiona persoanele vizate. Teroriștii cibernetici și hack-tiviștii pot fi de asemenea interesaţi să compromită dispozitivele IoT pentru a fura informaţii sensibile sau pentru a provoca daune extinse.

Care sunt principalele ameninţări cibernetice pentru dispozitivele IoT?
Anul trecut specialiștii de la Symantec au publicat un studiu interesant despre principalele ameninţări cibernetice pentru IoT, grupându-le în următoarele categorii:

  • Denial of service – atacurile DDoS pot viza toate punctele unui scenariu de lucru determinând probleme serioase în reţeaua dispozitivelor inteligente și paralizând serviciul pe care acestea îl furnizează. Ţineţi cont că elementele aparţinând unei reţele IoT sunt ţinta atacurilor care interferează cu modul de operare și de comunicare între dispozitive.
  • Botneți și atacuri malware – Probabil că acesta este scenariul cel mai comun și mai periculos, dispozitivele IoT sunt compromise de atacatori care abuzează de resursele lor. În mod uzual atacatorii utilizează cod specializat care să compromită software-ul care rulează pe dispozitivele IoT. Codul maliţios poate fi utilizat pentru a infecta calculatoarele utilizate pentru controlul reţelei de dispozitive inteligente sau să compromită software-ul care rulează pe acestea. În cel de-al doilea scenariu atacatorii pot exploata prezenţa unor defecte în firmware-ul care rulează pe aceste dispozitive și să ruleze codul lor arbitrar care să deturneze componentele IoT spre o funcţionare neplanificată. În noiembrie 2013, experţii Symantec au descoperit un nou vierme Linux, Linux.Darlloz, proiectat în mod special să atace dispozitive IoT Intel x86 care rulează Linux. Atacatorii au compromis dispozitivele IoT pentru a construi un botnet care a fost utilizat pentru activităţi ilegale, incluzând trimiterea de Spam, generarea de mesaje SMS costisitoare sau derularea unor atacuri DDoS. O altă posibilitate pentru atacatori este exploatarea dispozitivelor configurate necorespunzător, de exemplu dacă știi setările de fabrică ale unui router este posibil să ai acces la consola sa de administrare și să modifici parametrii care îi controlează comportamentul.
  • Breșe de date – breșele de date reprezintă un alt risc serios în privinţa adoptării dispozitivelor IoT. Organizaţiile trebuie să conștientizeze potenţialul consecinţelor neplanificate ale situaţiilor de utilizare a IoT. Atacatorii pot spiona comunicaţiile dintre dispozitivele IoT și să colec teze informaţii despre serviciile pe care acestea le implementează. Datele accesate prin intermediul dispozitivelor IoT pot fi utilizate în scopuri de spionaj cibernetic sau de către o agenţie de Intelligence sau de către o companie privată în scopuri comerciale. Breșele de date reprezintă o ameninţare serioasă pentru organizaţiile sau persoanele care utilizează dispozitive inteligente.
  • Breșe accidentale – Managementul datelor într-o arhitecutură care include dispozitive IoT este un aspect critic. Informaţiile sensibile pot fi expuse nu numai într-un atac cibernetic, ci pot fi expuse sau pierdute și în mod accidental. Symantec dă ca exemplu transmiterea coordonatelor autoturismului unui CEO, dar realitatea este că din mediul de business se pot scurge informaţii mult mai sensibile.
  • Perimetre slăbite – lipsa măsurilor de siguranţă încă din faza de design poate cauza o slăbire a perimetrelor. Prin exploatarea unui defect în SmartTV-ul nostru atacatorul poate avea acces la reţeaua domestică și să dezactiveze orice sistem antifurt implementat pentru securitatea fizică.

OWASP Top 10 probleme de securitate pentru IoT
Open Web Application Security Project (OWASP) are ca scop primar diseminarea celor mai bune practici care să ducă la îmbunătăţirea securităţii software-ului. Este firesc să analizeze și cele mai importante 10 probleme de securitate pentru această paradigmă populară.
1. Interfeţe web nesigure
2. Autentificări/autorizări insuficiente
3. Servicii de reţea nesigure
4. Lipsa criptării la transportul de date
5. Probleme de confidenţialitate
6. Interfaţă cloud nesigură
7. Interfaţă mobile nesigură
8. Configurabilitate de securitate insuficientă
9. Software/firmware nesigur
10. Securitate fizică scăzută

  1. Interfață web nesigură:
    Aproape orice dispozitiv are implementat un web ser ver în scopuri de mentenanţă, dar în majoritatea cazurilor interfeţele serverului intern nu sunt securizate. Meca nismele slabe de autentificare, CSRF, XSS și injecţiile SQL sunt vulnerabilităţile cele mai comune care afectează serverele web.
  2. Autentificări/autorizări insuficiente:
    Experţii în securitate trebuie să verifice cu atenţie adoptarea unor parole puternice și să evite credenţialele codate hard. Un alt aspect îl reprezintă verificarea vulnerabilităţilor comune (de ex. sqli) pentru procesele de autentificare/ autorizare.
  3. Servicii de rețea nesigure:
    SSH, SFTP și alte servicii trebuie implementate în mod corespunzător. O eroare obișnuită în aceste situaţii o reprezintă codarea hard a credenţialelor serviciilor.
  4. Lipsa criptării la transportul de date:
    Credenţialele și datele trebuie criptate. Adoptarea PKI ar trebui să ajute administratorii să implementeze procese eficiente de securizare a informaţiei.
  5. Probleme de confidențialitate:
    Este important să fie analizate toate aspectele arhitecturii IoT care ar putea expune date sensibile necriptate.
  6. Interfață cloud nesigură:
    Dispozitivele IoT pot fi integrate cu servicii cloud pentru partajarea de date. Interfaţa cu serviciile cloud trebuie implementată în mod corespunzător și proiectată să evite prezenţa vulnerabilităţilor critice.
  7. Interfață mobile nesigură:
    Multe dispozitive inteligente furnizează o funcţionalitate „Wireless Access Point”, ca de exemplu smartTV-urile, și este necesară adoptarea unui algoritm de criptare puternic și a celor mai bune practici de securitate (de ex. dezactivarea transmisiei SSID).
  8. Configurabilitate de securitate insuficientă:
    Dispozitivele IoT trebuie să ofere posibilitatea de configurare a principalelor facilităţi de securizare cerute de conformitatea cu politicile de securitate.
  9. Software/Firmware nesigur:
    Asiguraţi-vă că firmware-ul și software-ul care rulează pe dispozitive poate fi actualizat și că upgrade-urile se efectuează prin procese securizate care evită modificarea/înlocuirea. Evitaţi software-ul/firmware-ul care are credenţiale codate hard și o bună practică este validarea software-ului prin semnarea digitală a codului sursă.
  10. Securitate fizică scăzută:
    Verificaţi securitatea fizică a dispozitivelor inteligente prin protejarea accesului la toate porturile expuse. De obicei producătorii dau acces extern în scopuri de mentenanţă. Un atacator poate exploata unul dintre aceste puncte de acces pentru a injecta cod maliţios, pentru filtrarea de date sau pentru sabotarea obiectului inteligent. Se sugerează criptarea datelor stocate în memoria dispozitivului și protejarea fizică a porturilor USB și a oricărui alt port, prin dezactivarea acceselor ne-necesare.

Scenarii de atac
Firmele de securitate au observat o escaladare a atacurilor cibernetice împotriva dispozitivelor IoT, la scară globală. Cel mai întâlnit scenariu este utilizarea de botneţi alcătuiţi din mii de dispozitive din domeniul IoT, cunoscute și sub denumirea de thingboţi, care sunt utilizaţi pentru a trimite mesaje de spam sau pentru coordonarea unor atacuri DDoS. Rezumând un thingbot poate fi utilizat pentru:

  • a trimite spam.
  • a coordona un atac împotriva unei infrastructuri critice.
  • a furniza un malware.
  • a funcţiona ca punct de intrare în reţeaua unei companii.

Principalele firme de securitate confirmă o creștere a numărului de atacuri împotriva unor obiecte inteligente, incluzând routere, SmartTV-uri, dispozitive

NAS (network-attached storage), console de jocuri și diferite tipuri de set-top box-uri.
Unul dintre primele atacuri la scară largă a fost semnalat de cercetătorii de la Symantec în noiembrie 2013, când un vierme numit Linux.Darlloz a infectat numeroase dispozitive Intel x86 care rulau Linux prin exploatarea diverselor vulnerabilităţi din PHP.

Viermele a reușit să compromită kit-uri internet pentru acasă, echipate cu cipuri x86, să le exploateze și să extindă infecţia. Codul maliţios a compromis echipamente de reţea la scară globală, după cum a fost descris de către Symantec într-un raport detaliat.

„Viermele Linux.Darlloz exploatează vulnerabilităţi PHP și se autopropagă. Viermele utilizează vulnerabilitatea cunoscută ca PHP «php-cgi» Information Disclosure Vulnerability (CVE-2012-1823), care este o vulnerabilitate veche pentru care există un patch din mai 2012. Atacatorii au creat recent un vierme bazat pe codul Proof of Concept (PoC) disponibil de la sfârșitul lui octombrie 2013”, se afirmă într-o postare de pe blogul Symantec.

Cu toate că viermele a fost conceput pentru a compromite dispozitivele Intel x86 echipate cu Linux, experţii Symantec au descoperit că există și o variantă Darlloz compilată să ruleze pe dispozitive ARM și MIPS. Darlloz a reușit să se răspândească în liniște și să șteargă parţial fișiere stocate pe dispozitivele IoT.
Tehnica de atac a fost simplă și eficientă, codul maliţios genera adrese IP aleatorii și încerca să utilizeze credenţiale utilizate în mod curent pentru a se loga la mașinile ţintă. Dacă malware-ul identifica un dispozitiv vulnerabil îl accesa și downloada viermele de pe un server. Odată infectat dispozitivul IoT, malware-ul începea să caute alte ţinte rulând un server web și PHP.

Darlloz utilizează cereri HTTP POST concepute în mod special pentru exploatarea dispozitivelor vulnerabile.

În momentul în care malware-ul identifică un dispozitiv ne-patch-uit și preia controlul, download-ează viermele de pe un server și începe să caute alte ţinte prin rularea unui server web și PHP.
Pentru a preveni recuperarea dispozitivului, viermele oprește serviciile Telnet care rulează pe componenta inteligentă, făcând astfel imposibilă o conectare de la distanţă cu acesta pentru a-l readuce într-o situaţie normală de funcţionare.

Câteva luni mai târziu, în ianuarie 2014, cercetătorii de la Proofpoint au descoperit o altă utilizare abuzivă a dispozitivelor IoT, peste 100.000 de frigidere, Smart TV-uri și alte dispozitive casnice inteligente fiind hack-uite pentru trimiterea a 750.000 de e-mail-uri de spam maliţioase.

„Atacul observat și profilat de Proofpoint s-a derulat între 23 decembrie 2013 și 6 ianuarie 2014, și a constat în trimiterea de valuri de e-mail-uri maliţioase, în serii de câte 100.000, de 3 ori pe zi, către companii și persoane fizice la nivel global. Mai mult de 25% din acest volum a fost trimis prin intermediul unor obiecte care nu erau laptop-uri convenţionale, calculatoare desktop sau dispozitive mobile; e-mail-urile fiind expediate de gadget-uri de consum cum ar fi routere pentru reţele casnice, centre multimedia conectate, televizoare și cel puţin un frigider.”

Între timp atacurile continuă, recent experţii de la Akamai Prolexic Security Engineering & Response Team (PLXsert) au semnalat un nou kit de malware denumit Spike, care este utilizat pentru lansarea de atacuri DDoS prin intermediul desktop-urilor și al dispozitivelor IoT.

Thingbot-ul Spike este capabil să lanseze diferite tipuri de atacuri DDoS, incluzând SYN, UDP, cereri Domain Name System, și flood-uri GET împotriva unor mașini Linux, Windows, sau al unor host-uri ARM cu Linux.

Thingbot-ul a fost compus din routere casnice, uscătoare inteligente, termostate inteligente și alte dispozitive
inteligente. Akamai a observat că numărul dispozitivelor care au alcătuit botnet-ul Spike s-a situat între 12.000 și 15.000, cercetătorii subliniind abilitatea atacatorilor de a customiza malware-ul și pentru arhitecturi ARM utilizate pe scară largă de dispozitivele IoT.

„Abilitatea toolkit-ului Spike de a genera atacuri și asupra arhitecturilor ARM sugerează că autorii acestor instrumente ţintesc dispozitive cum ar fi router-ele și dispozitivele IoT pentru a-și extinde botneţii pentru o eră post-PC de propagare a botneţilor” se afirmă în documentul Akamai.

Botnetul Spike a fost utilizat pentru mai multe atacuri DDoS de tipul „lovește și fugi” în care au fost implicate atât mașini Windows cât și Linux, dispozitive IoT și Raspberry Pi.

Experţii au observat ca noul aflux de malware Spike s-a bazat pe un update a limbajului de malware Spike chinezesc care ţintește dispozitive Internet-of-Things slab configurate.

Akamai a publicat un raport interesant despre botnetul Spike care include detalii despre atacurile DDoS care au avut loc. Experţii au observat că unul dintre atacuri a inclus pachete tactate la 215 gigabiţi pe secundă (Gbps) și 150 millioane de pachete pe secundă (Mpps). Documentul confirmă faptul că și dacă majoritatea atacurilor DDoS sunt lansate de pe dispozitive de putere mică, și ar putea părea nesemnificative,
dispozitivele IoT pot reprezenta o armă puternică în mâinile atacatorilor.

„Mai mulţi clienţi Akamai au fost ţinta atacurilor DDoS lansate de acest botnet. Un atac a avut vârful de 215 gigabiţi pe secundă și 150 millioane pachete pe secundă,” se afirmă în documentul companiei.
Lista atacurilor cibernetice asupra dispozitivelor IoT este foarte lungă, unul dintre cele mai puternice atacuri întâmplându-se de Crăciun, atunci când popularele platforme de jocuri Sony PSN și Xbox Live au fost blocate de un atac al unui grup de hackeri cunoscut sub numele de Lizard Squad.

Grupul a utilizat în cadrul atacului un instrument DDoS denumit Lizard Stresser, conform expertului în securitate Brian Krebs, acesta fiind alcătuit din mii de routere de internet domestice hack-uite.

Untitled
Figura 2 -Instrumentul Lizard Stesser DDoS

Lizard Squad a elaborat recent și o ofertă comercială pentru Lizard Stresser, care propune spre vânzare un model de tipul attack-as-a-service și hacking-ul dispozitivelor IoT permite infractorilor să gestioneze ușor astfel de oferte.

Instrumentul Lizard Stresser este un instrument DDoS puternic care se folosește de lăţimea de internet a routerelor domestice de Internet hack-uite global. În septembrie 2014, experţii de la Kaspersky Lab au descoperit o campanie de hacking condusă de atacatori din Brazilia care vizau routerele domestice prin intermediul unui atac web.

Atacatorii adoptă tehnici diferite, incluzând ingine rie socială și site-uri web maliţioase, pentru a schimba setările DNS ale routerelor domestice. Atacurile prin modificarea setărilor DNS permit atacatorilor să redirec teze victimele către site-uri web false pentru a fura credenţialele bancare ale clienţilor băncilor braziliene. În martie 2014, cercetătorii de la Team Cymru au publicat un raport detaliat despre un atac de tip fermă SOHO la scară largă care a afectat peste 300.000 de dispozitive la scară globală.

Din păcate grupările infracţionale privesc cu tot mai mult interes la reţelele de dispozitive IoT cu scopul de a le compromite și a lansa atacuri de tipul DDoS.

În majoritatea situaţiilor dispozitivelor IoT le lipsesc măsurile defensive iar soft-ul lor nu este actualizat la zi, circumstanţe care fac ca aceste obiecte puternice să fie expuse unor atacuri cibernetice.
În urmă cu câteva săptămâni experţii de la compania de securitate Imperva Incapsula au descoperit un botnet DDoS alcătuit din zeci de mii de routere SOHO, infectate cu malware, angajate într-un atac de tip flood la nivel de aplicaţie HTTP.

Routerele SOHO erau infectate cu o versiune de troian Linux Spike (Trojan. Linux.Spike.A) și MrBlack, care este un agent Linux semnalat pentru prima dată de cercetători de la Dr. Web în mai 2014.
Atacatorii au facilitat accesul de la distanţă asupra routerelor SOHO prin HTTP și SSH pe porturile lor implicite, pentru a le compromite. După cum se explică în raportul publicat de Incapsula, routerele SOHO erau slab configurate, atacatorii utilizând credenţiale implicite (de ex. admin/admin) pentru a le accesa și a le injecta cod maliţios. Malware-ul a reușit să se autopropage prin scanarea reţelei pentru a localiza și infecta și alte routere. Conform cercetătorilor, routerele SOHO deturnate erau dispozitive pe arhitecturi ARM de la producătorul de echipamente de reţea wireless Ubiquiti Networks.

Compania a descoperit o serie de atacuri împotriva clienţilor săi la sfârșitul lui decembrie 2014, într-o perioadă de 121 de zile în care aceștia au monitorizat arhitectura maliţioasă utilizată de infractori. Au fost identificate IP-urile a 60 de servere de comandă și control (C&C) iar traficul maliţios a fost lansat de la peste 40.000 de adrese IP aparţinând la aproape 1.600 de ISP-iști din 109 de ţări, de pe toate continentele.
Este interesant de menţionat că peste 85% dintre routerele SOHO infectate au fost localizate în Thailanda și Brazilia.
„Peste 85% dintre routerele compromise sunt localizate în Thailanda și Brazilia, în timp ce majoritatea centrelor de comandă sunt localizate în SUA (21%) și China (73%). În total am documentat atacuri din 109 de ţări din toată lumea”, se afirmă în raport.

Untitled
Figura 3 – Mrblack Thingbot – Topul țărilor atacatoare – Incapsula Report

Conform celor de la Incapsula, routerele SOHO compromise au fost exploatate de către mai multe grupări, inclusiv de către popularul grup Anonymous. Incapsula speculează că sute de mii sau chiar milioane de routere SOHO au fost compromise datorită unei configurări slabe.

Bash Bug, Heartbleed și Internet of Things
Bash Bug (CVE-2014-6271) este un defect critic care poate fi exploatat de la distanţă și care afectează mașini Linux, Unix și Apple Mac OS X. Bash Bug există de câteva decade și este legat de modul în care bash tratează variabilele de mediu formatate special, și anume de funcţiile shell exportate.

Pentru a rula un cod arbitrar pe un sistem afectat este necesară asignarea unei funcţii la o variabilă, codul ascuns în definiţia funcţiei urmând a fi executat.

Defectul Bash Bug are impact asupra a miliarde de dispozitive din lumea întreagă, care rulează pe arhitecturi Linux/Unix, inclusiv dispozitive IoT.

Companiile de securitate confirmă faptul că vulnerabilitatea Bash Bug ar putea să fie deja utilizată de către infractori pentru afectarea dispozitivelor din diferite industrii.

Principala problemă în adresarea dispozitivelor IoT este că în multe scenarii mentenanţa unor astfel de obiecte este foarte dificilă și că uneori producătorii nu furnizează update-uri de securitate pentru eliminarea problemelor, lăsându-le accesibile atacurilor cibernetice.

Untitled
Figura 4 – Atac Heartbleed asupra unei mașini client (Symantec)

O altă vulnerabilitate care ameninţă IoT este popularul Heartbleed, care poate afecta routere, PBX-uri (business phone systems) și multe alte obiecte inteligente.

Prin exploatarea defectului Heartbleed un atacator poate citi de la distanţă memoria sistemelor care rulează versiuni vulnerabile ale popularei biblioteci OpenSSL.

Un dispozitiv IoT vulnerabil conectat la un server poate fi compromis dacă este afectat de o vulnerabilitate Heartbleed prin simpla trimitere a unui mesaj maliţios Heartbeat către acesta. Dispozitivul IoT îi va răspunde trimiţând date suplimentare din memoria sa, putând expune credenţailele și alte date sensibile.

Vestea bună, după cum explică cercetătorii de la Symantec, este că deși atacurile Heartbleed asupra unui server nu sunt complicat de efectuat, o ofensivă la scară largă asupra unor clienţi este greu de rulat într-un scenariu din lumea reală. Principalii doi vectori de atac pentru exploatarea defectului Heartbleed în dispozitivele IoT sunt determinarea obiectului inteligent să viziteze un server maliţios SSL/TLS sau prin deturnarea conexiunii printr-o slăbiciune necorelată. În ambele situaţii atacurile sunt mai greu de efectuat de către infractori.

Concluzie
IoT este o paradigmă care ne va influenţa vieţile în anii care vor urma. din acest motiv este esenţial ca problemele de securitate și de confidenţialitate să fie tratate în mod corespunzător.

Experţii în securitate solicită producătorilor și vânzătorilor să ia în considerare ameninţările cibernetice și nivelul de expunere al oricărui dispozitiv IoT. IoT oferă oportunităţi de business fiecărei industrii, dar poate deveni un coșmar în cazul în care componentele de securitate sunt subestimate.

EDITIE SPECIALA – INTERNET OF THINGS

2482
Pierluigi Paganini Este Chief Information Security Officer la Bit4Id, companie lider în managementul identității, membru al ENISA (European Union Agency for Network and Information...

2084
Mika Lauhde Mika răspunde de Government Relations și Business Development în SSH. Înainte de a se alătura SSH Communica- tions Security, Mika a condus divizia...

3616
Ioan-Cosmin MIHAI Vicepreședinte ARASEC – Asociaţia Română pentru Asigurarea Securităţii Informaţiei Auzim din ce în ce mai des vorbindu-se despre conceptul de Internet al lucrurilor – Internet of Things...

2172
autor: Jean Christophe Schwaab Recent mi-am pierdut cardul de credit şi am solicitat unul nou. În momentul comandării noului card, am cerut în mod explicit să nu...

2085
Laurent Chrzanovski Anul 2015 se anunţă un an record pentru firmele de securitate IT, așa cum reiese foarte clar și din rapoartele financiare pentru Q1 publicate de către...

2225
Laurent Chrzanovski Cu un doctorat în Arheologie Romană obținut de la Universitatea din Lausanne, o diplomă de cercetare postdoctorala în istorie și sociologie la Academia Română,...